Kiffer aller (Bundes-)Länder vereinigt euch und jubelt, seit dem 01.04. ist Bubatz legal¹. In freudiger Erwartung auf den 01.07., an dem die nächsten Regelungen aus dem Cannabis-Gesetz in Kraft treten, sprießen nun in ganz Deutschland die Cannabis Social Clubs (CSCs) aus dem Boden und brauchen zum Wachsen nicht nur Samen, Wasser und viel Licht, sondern natürlich auch gute Software. So gibt es schon jetzt eine ganze Reihe Anbieter, die den neuen Markt gerochen² haben und speziell auf CSCs ausgerichtete Software anbieten.

Als wir davon gehört haben, hatten wir gleich so ein Kratzen im Hals und ein schlechtes Bauchgefühl – das sich leider bestätigte: Nach kurzer Zeit fanden wir ein Datenleck mit Details von mehr als 1.000 CSC-Interessierten - und das Resultat von schlechter Gesetzgebung.

Immer wissen wo es brennt? Da gibts doch was von Ratiopharm? Früher musste man dazu schon den Behördenfunk abhören oder einen guten Kontakt in der Leitstelle haben. Aber was, wenn dir jedes Feuerwehrauto einfach jederzeit seinen Standort verrät?

Müssen wir nicht lange drumrumreden: Ist uns passiert. Die ganze Geschichte hier:

To celebrate Franco-German friendship, German Transport Minister Wissing and his French counterpart Beaune came up with something special: 30,000 free Interrail tickets per country for travel in Germany and France for young adults between 18 and 27. Codename: “Passe France Allemagne”

However, many things went wrong when the Interrail passes were distributed. In the following, we want to take you on a journey through the stages of the not-so-well-implemented ticket and show you how you could still get a pass after registration ended.

And while we’re on the tracks, we’ll also have a look at a security breach in a similar project at the EU level. Implemented by the same agency - which left the data of about 245,000 registrations almost unprotected on the web.

Please stand clear of the doors – we’re departing! 🚄🚃🚃🚃🚃

Um die deutsch-französische Freundschaft zu feiern, haben sich Bundesverkehrsminister Wissing und sein französischer Kollege Beaune etwas Besonderes ausgedacht: Je Land 30.000 kostenlose Interrail-Tickets für Reisen in Deutschland und Frankreich für junge Erwachsene zwischen 18 und 27.

Allerdings lief beim Verteilen der Interrail-Pässe einiges schief. Im Folgenden wollen wir euch mitnehmen auf eine Reise durch die Stationen des nicht ganz so gut umgesetzten Tickets und zeigen, wie man auch nach Ende der Registrierung noch an einen Pass kommen konnte.

Und wenn wir schonmal unterwegs sind, präsentieren wir gleich mit: Eine Sicherheitslücke in einem ähnlichen Projekt auf EU-Ebene – umgsetzt von der gleichen Agentur – wodurch die Daten von rund 245.000 Registrierungen nahezu ungeschützt im Netz standen.

Bitte zurücktreten – die Türen schließen und wir fahren ab! 🚄🚃🚃🚃🚃

tl;dr: Unsere Kontoverbindung musste sich ändern und wir sind sowohl jetzt bei Patreon als auch bei Steady. Neue IBAN: DE07 1101 0101 5760 4493 51

Zuerst einmal wollen wir ein ganz großes Dankeschön loswerden: zerforschung arbeitet komplett ehrenamtlich und dass einige unsere Arbeit so sehr schätzen, dass sie uns beschenken, freut uns immer wieder unfassbar doll.

On the Internet no one knows you’re a dog creating content – but everyone knows you love support from your fans (whether in the form of technical devices, energy drinks or feed). However, it’s not a good idea to leave your home address online where overzealous fans or malicious stalkers might find it. For this reason, services have emerged that seek to enable creators to receive physical gifts without compromising their privacy.

But how good do they actually protect your address? Let’s have a look…

Wer Videos dreht und ins Internet stellt, freut sich über Liebe von seinen Fans – gerne auch in Form von Geschenken. Von technischem Equipment über Energydrinks bis hin zu Kleidung, der Kreativität sind keine Grenzen gesetzt. Die eigene Wohnadresse sollte aber besser nirgendwo landen, wo sie übereifrige Fans oder bösartige Stalker finden könnten. Deshalb gibt es Dienste, die einem beides ermöglichen wollen: Einerseits Geschenke bekommen und andererseits seine Adresse nicht dem gesamten Internet verraten zu müssen.

Problematisch wird’s, wenn so ein Dienst dabei Mist baut und diese Adressen doch leakt. Genau das ist aber passiert. Wie es dazu kam…

Update: The vulnerabilities are currently no longer exploitable because Hive deactivated their servers. More details

Following the Twitter takeover, a number of services promising to be an alternative gained traction. One of those is “Hive Social”, which reached more than a million users in the last weeks.

Of course, we were interested and took a look at Hive from a security standpoint. We found a number of critical vulnerabilities, which we confidentially reported to the company. After multiple attempts to contact the company we finally reached them by phone and they acknowledged the report. After multiple days and multiple reminders by us, they claimed to fix them within the next two days. However after those two days, multiple vulnerabilities we reported were not fixed and still existed at the time of writing.

Update: Die Lücken sind aktuell nicht ausnutzbar, da Hive die Server abgeschaltet hat. Mehr Details

Nach der feindlichen Übernahme von Twitter positionieren sich viele Dienste als Alternative und wachsen teilweise sehr schnell. Einer dieser Dienste ist die App “Hive Social”, die in den vergangenen Wochen die Marke von einer Million Usern überschritten hat.

Natürlich haben wir uns die App mal genauer angesehen und geschaut, wie es dabei um die IT-Sicherheit steht. Wir haben dabei eine Vielzahl von schwerwiegenden Sicherheitslücken gefunden, die wir natürlich an den Hersteller gemeldet haben. Nach mehreren Versuchen, die Verantwortlichen per E-Mail zu kontaktieren, haben wir die CEO telefonisch erreichen können. Sie hat uns dann bestätigt, dass sie den Report bekommen hat und versprochen, dass die Lücken so schnell wie möglich geschlossen werden. Nachdem wir die Verantwortlichen in den vergangenen Tagen mehrfach erinnern mussten, sagten sie zu, die Lücken innerhalb von zwei Tagen zu schließen. Nach diesen zwei Tagen waren die Lücken allerdings noch nicht geschlossen und es bestanden zum Zeitpunkt dieses Posts weiterhin schwerwiegende Sicherheitslücken in Hive Social.

Unfassbar, aber wahr: Auch in Deutschland kommt die Digitalisierung an. Mittlerweile sogar in Arztpraxen. Termine buchen, Akten durchsuchen, Krankschreibungen und Abrechnungen ausstellen – das alles kann mit einer Software erledigt werden. Die kennt dann Praxen und Patient*innen sehr gut – sehr, sehr gut sogar. Genauso unfassbar, aber leider auch wahr: Als wir uns eine dieser Softwarelösungen für Arztpraxen mal genauer angeschaut haben, hat sie sehr viele Daten verloren. Sehr, sehr viele: Von mehr als einer Million Patient*innen.